第三方組件可不總是你想象的那樣，即省時(shí)省力又省成本的利器

應(yīng)用安全公司Veracode一項(xiàng)新研究顯示，幾乎全部(97%)Java應(yīng)用都包含至少1個(gè)帶已知漏洞的組件。

Veracode報(bào)告公司企業(yè)所寫(xiě)代碼的逐年改進(jìn)情況，某種程度上，是對(duì)不斷增長(zhǎng)的開(kāi)源和第三方組件使用風(fēng)險(xiǎn)的積極發(fā)現(xiàn)。一個(gè)帶關(guān)鍵漏洞的流行組件，可擴(kuò)散至80000多個(gè)其他軟件組件中，然后又用到可能數(shù)百萬(wàn)個(gè)軟件項(xiàng)目的開(kāi)發(fā)過(guò)程中。

軟件開(kāi)發(fā)中開(kāi)源組件的廣泛使用，正在公司企業(yè)間制造不受控的系統(tǒng)性風(fēng)險(xiǎn)。

Veracode報(bào)告還凸顯了軟件開(kāi)發(fā)中的進(jìn)步和依然留存的困難。3/5(60%)的應(yīng)用程序在***輪掃描中就不滿(mǎn)足安全策略。

安全軟件開(kāi)發(fā)的***實(shí)踐正在興起，但仍未流行到能在整個(gè)軟件開(kāi)發(fā)市場(chǎng)上舉足輕重的程度。

一個(gè)積極的改進(jìn)，來(lái)自于更前瞻性的公司給予開(kāi)發(fā)人員更多權(quán)力進(jìn)行安全改善。比如說(shuō)，如果開(kāi)發(fā)人員在質(zhì)量保障測(cè)試之前使用沙箱技術(shù)掃描App，修復(fù)率就會(huì)倍增。

開(kāi)發(fā)人員培訓(xùn)甚至能形成更好的效果。修復(fù)指導(dǎo)和在線(xiàn)學(xué)習(xí)之類(lèi)的***實(shí)踐，可以極大改善漏洞修復(fù)率，某些情況下，可達(dá)原修復(fù)率表現(xiàn)的6倍。

開(kāi)發(fā)運(yùn)維實(shí)踐正植根于設(shè)立了成熟應(yīng)用安全方案的產(chǎn)業(yè)***之間。有些應(yīng)用每天都被掃描數(shù)遍。每應(yīng)用平均安全測(cè)試率是7次，有些應(yīng)用被掃描600-700次，將安全融合進(jìn)開(kāi)發(fā)運(yùn)維過(guò)程，可以為企業(yè)在不減緩軟件開(kāi)發(fā)的情況下減少風(fēng)險(xiǎn)貢獻(xiàn)良多。

盡管某些方面有所改善，Web應(yīng)用依然脆弱：經(jīng)Veracode工具測(cè)試的Web應(yīng)用中，超過(guò)半數(shù)受錯(cuò)誤配置的安全通信或其他安全防御缺陷的影響。

Veracode的第7期《軟件安全狀態(tài)報(bào)告》，使用Veracode的代碼審計(jì)工具，在300000次評(píng)估中，對(duì)去過(guò)1年半里的數(shù)十億行代碼，進(jìn)行了代碼級(jí)分析，給出了各項(xiàng)評(píng)估標(biāo)準(zhǔn)和數(shù)據(jù)。